論實名制數字證書的全生命周期管理的重要性

李瑤

【摘 要】21世紀以來，信息技術的飛速發展以及互聯網的不斷普及，給電子商務的發展提供了良好環境，如何在交易的過程中保證敏感數據的保密性、完整性、不可否認性，以及如何確認交易雙方的真實身份就非常重要。認證中心（Certification Authority，CA）是一個專門負責對參與電子商務的各個實體進行身份驗證并發放電子證書的獨立機構，該CA系統提供對證書從申請、審核到發放、撤銷的全部生命周期管理，其頒發的數字證書可對安全電子郵件、安全Web服務和數字印章等企業內部應用提供有力支撐。該CA系統設計并實現了CA系統各個實體的關鍵數據結構、數據庫和用戶界面，實現了CA系統各個實體的功能，以及各個實體的操作員的權限管理。

【關鍵詞】實名制；數字證書；認證中心；全生命周期管理

由于互聯網具有開放性、共享性及全球性等顯著特點，這些特點在便利人們信息獲取的同時，也給一些不法分子提供了惡意攻擊的機會，進而加大了重要信息在網絡上安全傳送的難度，很難辨別某條信息是否是由某個確定的實體發出的，以及在信息的傳送過程中是否曾經被非法篡改。[1]因此，我國諸多一線城市都相繼著手CA認證中心的建設，如重慶、北京、上海等，旨在提供給本地通信網絡優質的安全服務。

一、現階段使用實名制數字證書的重要性

使用者在數字證書的幫助下，能夠獲得以下保證：其他人無法竊取或是篡改傳輸的相關信息；在數字證書的幫助下，發送方能夠更好對接收方的身份進行確認；發送方不能抵賴自身所傳輸的信息；從數字簽名到完成接收為止，信息不會受到任何的修改，保證簽發文件的真實性。數字證書頒發過程一般為：用戶首先產生自己的密鑰對，并將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份后，將執行一些必要的步驟，以確信請求確實由用戶發送而來，然后，認證中心將發給用戶一個數字證書，該證書內包含用戶的個人信息和他的公鑰信息，同時還附有認證中心的簽名信息，用戶獲得證書之后就可以使用自己的數字證書進行相關的各種活動。

“實名認證”是對用戶資料真實性和合規性進行驗證審核的方式。面對互聯網和電子商務等領域的虛擬性和復雜性，采取有效的措施防范和化解風險，維護企業及個人用戶的利益安全。目前，國家已對諸多行業明確提出實名認證合規性要求，如金融、貸款、擔保、法律、O2O、物流、旅游、保險、電商、人力資源、租賃、游戲等行業。如果企業沒有進行實名認證，就無法規避很多風險，比如企業數據的機密性得不到保障，很難去辨別信息在傳送過程中是否有被人非法篡改以及信息傳遞安全等災難性問題。

二、如何去管理實名制證書

（一）CA系統

數字證書認證中心即為CA系統，其主要是解決公鑰體系中公鑰出現的合法性問題，是電子商務交易中的重要第三方。針對所有使用公開密鑰的用，CA系統會進行一個數字證書的發放，如此做法的目的是，保證證書中列出的用戶名稱能夠對應列出的公開密鑰。在數字簽名的約束下，攻擊者無法對數字證書進行篡改或是偽造。在認證數字證書的時候，作為最為值得信賴、公正以及權威的第三方，證書認證中心發揮了不可或缺的作用。簡單來講，認證中心就是負責管理及發放數字證書的一個機構，擁有極高的權威性。并且，CA允許管理員在CRL中增加新項目周期性發布，同時能將發放的數字證書撤銷[2]。

（二）生命周期管理

CA系統提供對證書從申請到撤銷的生命周期管理，提供對基于各種用途的證書密鑰的生命周期管理，提供外部安全應用的證書服務支持以及查詢支持，對電子令牌iKey提供良好支持等。全生命周期管理是一種新型項目管理理念，強調統籌管理，下文主要圍繞全生命周期實名制證書管理方法加以分析。

1、證書申請

首先是提交申請，終端用戶從RA處取得用戶證書申請表，填寫完成后將申請表和相關的身份證明信息一同交給RA的信息錄入員，信息錄入員將申請信息錄入RA的終端用戶申請信息庫中，錄入完成后系統產生一個用戶身份確認碼和口令，該身份確認碼和口令通過保密信封打印后給終端用戶，或者通過用戶的電子郵件地址發送到用戶的郵箱里，完成終端用戶申請信息的錄入工作，這時終端用戶的申請信息的狀態為“未處理”。

2、審核信息

然后是信息審核，由RA的信息審核員對已經提交的、狀態未“未處理”的用戶申請信息進行審核，以確定用戶提交的信息是真實有效的。對于如何確定用戶信息的有效性不是本系統需要實現的，因此不做進一步的研究。對審核通過的申請信息，將其狀態設置為“審核通過”，否則設置為“審核未通過”。對于“審核通過”的申請信息需要等待進一步的處理，而“審核未通過”的申請信息，需要通知終端用戶，然后刪除相應數據。

3、制作證書

由RA的證書制作員從狀態為“審核通過”的申請信息中選擇一個，根據用戶提交的信息，生成證書請求，然后使用密鑰存儲設備生成用戶的公鑰私鑰對，將公鑰信息添加到證書請求中，而私鑰則保存在密鑰存儲設備中。之后RA使用自身的私鑰對證書請求進行簽名，并將簽名后的證書請求發送到CA進行簽名。CA接收到數據后，首先驗證數據的有效性（是否是合法RA提交的數據，是否是證書請求或證書吊銷請求），然后制作證書，并將證書立即返回給RA。RA在收到CA發回的證書后，將證書保存到密鑰存儲設備中，并將用戶的申請信息狀態置為“完成”，表明已為該用戶制作了證書。

4、證書發放

終端用戶在提交證書申請后的規定時間后，到RA領取證書。領取證書時需要用戶輸入在提交申請信息時獲得的身份確認碼和口令進行身份驗證，驗證的目的是防止第三者惡意冒領他人的證書，如果輸入的身份確認碼和口令都正確無誤，RA就將相應的密鑰存儲設備發放給終端用戶，完成證書的申請過程。

5、證書發布

證書發布包括，發布根證書、發布運營CA的證書、發布終端用戶證書。而RA證書作為系統內部身份確認用，而不需要發布。對于根證書和運營CA證書的發布可以采用將證書放在認證中心的Web頁面上供用戶下載，而對于用戶的證書使用目錄服務器發布。當需要查詢某個用戶的證書時，連接目錄服務器，輸入需要查詢用戶的名稱或Email地址，如果存在該用戶的證書，系統自動下載并安裝。

6、吊銷證書

對于認證中心簽發的證書，除了要發送給提出申請的RA外，在認證中心的證書庫中也要保留一個副本。認證中心能夠對證書庫中的證書所做的操作是備份過期的證書和強制吊銷用戶證書，對于備份過期的證書主要考證書庫的備份功能來實現。而強制吊銷用戶證書是在證書的有效期內，認證中心有足夠理由相信某證書所包含的信息不再有效時，不經過證書的所有者同意直接吊銷證書的操作。對于相同的部分不再贅述，不同的是：在用戶信息審核界面中，當選擇某個用戶申請信息后可用的操作是“審核通過”和“審核不通過”，在證書管理界面中顯示的可用操作是“吊銷選中的證書”。

三、結語

綜上所述，企業使用數字證書可以提高用戶對企業的可信度，同時在認證使用者身份期間，使用者的敏感個人數據是不會被傳輸到證書持有者的網絡系統上的。用戶使用了數字證書可以確保網上傳遞信息的機密性和完整性，即使用戶發送的信息被他人截獲甚至丟失了個人賬戶及密碼信息等，仍可保證用戶的賬戶和資金安全。

參考文獻：

[1]王歡.構建全生命周期的容器安全防護體系[J].數字通信世界，2020，191（11）：160-161.

[2]楊迪，葉鵬，黃敬林.CA認證支撐下的電子文件可信服務研究[J].數字技術與應用，2017（05）：63-65.